공격자가 웹페이지 소스코드를 유출한 시간은?
[account]-history 파일에서 chmod 777로 모든 권한을 주는 의심스러운 명령어를 확인할 수 있다.
/var/www/upload/editor/image <- 해당 디렉토리를 주목하자
[process]-pstree_a 파일에서 /var/www/upload/editor/image 경로에 reverse.php 파일이 sh, php 명령어를 통해 동작하고 있음을 확인할 수 있다. reverse.php로 웹쉘 동작을 하는지 의심할 수 있다.
[weblog]-access 파일에서 로그 기록을 확인할 수 있다. /upload/editor/image 경로를 검색해보니 cmd.php라는 또 다른 의심스러운 파일이 base64인코딩 되어 있다.
cHdk = pwd
bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20
= ls -al /var/www/upload/editor/image/
dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20
= tar -cvf /var/www/upload/editor/image/1330664838 /var/www/
cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20
= php -f /var/www/upload/editor/image/reverse.php6
key : 2012-08-25_17:26:40
(괄호 쓰면 안됨!)
'Forensics > CTF' 카테고리의 다른 글
| [Memory] GrrCON 2015 #4 (0) | 2021.04.30 |
|---|---|
| [DISK] 이벤트 예약 웹사이트를 운영하고… #C (0) | 2021.04.30 |
| [DISK] 이벤트 예약 웹사이트를 운영하고… #B (0) | 2021.04.30 |
| [Memory] GrrCON 2015 #3 (2) | 2021.04.02 |
| [Memory] GrrCON 2015 #1,2 (0) | 2021.04.02 |
